資源描述:
《構(gòu)建信息安全保密體系論文》由會員上傳分享,免費在線閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫��。
1��、構(gòu)建信息安全保密體系論文摘要:信息安全保密已經(jīng)成為當(dāng)前保密工作的重點��。本文從策略和機制的角度出發(fā)�����,給出了信息安全保密的服務(wù)支持、標(biāo)準(zhǔn)規(guī)范���、技術(shù)防范���、管理保障和工作能力體系,體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則���。摘要:信息安全保密已經(jīng)成為當(dāng)前保密工作的重點�����。本文從策略和機制的角度出發(fā)�,給出了信息安全保密的服務(wù)支持���、標(biāo)準(zhǔn)規(guī)范��、技術(shù)防范����、管理保障和工作能力體系�����,體現(xiàn)了技術(shù)與管理相結(jié)合的信息安全保密原則�����。關(guān)鍵詞:信息安全保密體系一���、引言構(gòu)建信息安全保密體系���,不能僅僅從技術(shù)層面入手,而應(yīng)該將管理和技術(shù)手段有機結(jié)合起來��,用規(guī)范的制度約束人��,同時建立���、健全信息安全保密
2����、的組織體制���,改變現(xiàn)有的管理模式��,彌補技術(shù)��、制度�、體制等方面存在的不足,從標(biāo)準(zhǔn)�����、技術(shù)�、管理、服務(wù)��、策略等方面形成綜合的信息安全保密能力�,如圖1所示。圖1信息安全保密的體系框架該保密體系是以信息安全保密策略和機制為核心����,以信息安全保密服務(wù)為支持,以標(biāo)準(zhǔn)規(guī)范����、安全技術(shù)和組織管理體系為具體內(nèi)容,最終形成能夠滿足信息安全保密需求的工作能力��。二�����、信息安全保密的策略和機制所謂信息安全保密策略,是指為了保護信息系統(tǒng)和信息網(wǎng)絡(luò)中的秘密�����,對使用者(及其代理)允許什么�、禁止什么的規(guī)定����。從信息資產(chǎn)安全管理的角度出發(fā),為了保護涉密信息資產(chǎn)�����,消除或降低泄密風(fēng)險�,制訂的各種綱領(lǐng)、制度���、規(guī)
3�、范和操作流程等�,都屬于安全保密策略。例如:禁止(工作或技術(shù)人員)將涉密軟盤或移動存儲設(shè)備帶出涉密場所����;嚴(yán)禁(使用人員將)涉密計算機(連)上互聯(lián)網(wǎng)����;不允許(參觀人員)在涉密場所拍照�、錄像等。信息安全保密機制�����,是指實施信息安全保密策略的一種方法��、工具或者規(guī)程�。例如,針對前面給出的保密策略��,可分別采取以下機制:為涉密移動存儲設(shè)備安裝射頻標(biāo)識����,為涉密場所安裝門禁和報警系統(tǒng);登記上網(wǎng)計算機的(物理)地址�����,實時監(jiān)控上網(wǎng)設(shè)備;進入涉密場所前�����,托管所有攝錄像設(shè)備等��。根據(jù)信息系統(tǒng)和信息網(wǎng)絡(luò)的安全保密需求�,在制定其安全保密策略時,應(yīng)主要從物理安全保密策略�����,系統(tǒng)或網(wǎng)絡(luò)的訪問控制策
4�、略��,信息的加密策略�,系統(tǒng)及網(wǎng)絡(luò)的安全管理策略,人員安全管理策略�����,內(nèi)容監(jiān)管策略等方面入手����。在安全保密機制方面,應(yīng)主要從組織管理、安全控制和教育培訓(xùn)等方面����,針對給出的安全保密策略,確定詳細的操作或運行規(guī)程�,技術(shù)標(biāo)準(zhǔn)和安全解決方案。三���、信息安全保密的服務(wù)支持體系信息安全保密的服務(wù)支持體系�����,主要是由技術(shù)檢查服務(wù)�����、調(diào)查取證服務(wù)��、風(fēng)險管理服務(wù)����、系統(tǒng)測評服務(wù)�����、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)組成的,如圖2所示����。其中,風(fēng)險管理服務(wù)必須貫穿到信息安全保密的整個工程中���,要在信息系統(tǒng)和信息網(wǎng)絡(luò)規(guī)劃與建設(shè)的初期����,就進行專業(yè)的安全風(fēng)險評估與分析�,并在系統(tǒng)或網(wǎng)絡(luò)的運營管理過程中,經(jīng)常性地開展
5��、保密風(fēng)險評估工作���,采取有效的措施控制風(fēng)險,只有這樣才能提高信息安全保密的效益和針對性�����,增強系統(tǒng)或網(wǎng)絡(luò)的安全可觀性�、可控性。其次���,還要大力加強調(diào)查取證服務(wù)���、應(yīng)急響應(yīng)服務(wù)和咨詢培訓(xùn)服務(wù)的建設(shè)����,對突發(fā)性的失泄密事件能夠快速反應(yīng)��,同時盡可能提高信息系統(tǒng)����、信息網(wǎng)絡(luò)管理人員的安全技能,以及他們的法規(guī)意識和防范意識�����,做到“事前有準(zhǔn)備����,事后有措施,事中有監(jiān)察”��。加強信息安全保密服務(wù)的主要措施包括:借用安全評估服務(wù)幫助我們了解自身的安全性通過安全掃描�����、滲透測試、問卷調(diào)查等方式對信息系統(tǒng)及網(wǎng)絡(luò)的資產(chǎn)價值���、存在的脆弱性和面臨的威脅進行分析評估����,確定失泄密風(fēng)險的大小�,并實施有效的安
6、全風(fēng)險控制���。采用安全加固服務(wù)來增強信息系統(tǒng)的自身安全性具體包括操作系統(tǒng)的安全修補����、加固和優(yōu)化��;應(yīng)用服務(wù)的安全修補����、加固和優(yōu)化�;網(wǎng)絡(luò)設(shè)備的安全修補、加固和優(yōu)化����;現(xiàn)有安全制度和策略的改進與完善等�。部署專用安全系統(tǒng)及設(shè)備提升安全保護等級借助目前成熟的安全技術(shù)和產(chǎn)品來幫助我們提升整個系統(tǒng)及網(wǎng)絡(luò)的安全防護等級��,可采用的產(chǎn)品包括防火墻�����、IDS���、VPN����、防病毒網(wǎng)關(guān)等����。運用安全控制服務(wù)增強信息系統(tǒng)及網(wǎng)絡(luò)的安全可觀性、可控性通過部署面向終端�、服務(wù)器和網(wǎng)絡(luò)邊界的安全控制系統(tǒng),以及集中式的安全控制平臺���,增強對整個信息系統(tǒng)及網(wǎng)絡(luò)的可觀性����,以及對使用網(wǎng)絡(luò)的人員����、網(wǎng)絡(luò)中的設(shè)備及其所提供
7�����、服務(wù)的可控性����。加強安全保密教育培訓(xùn)來減少和避免失泄密事件的發(fā)生加強信息安全基礎(chǔ)知識及防護技能的培訓(xùn)���,尤其是個人終端安全技術(shù)的培訓(xùn)�����,提高使用和管理人員的安全保密意識���,以及檢查入侵、查處失泄密事件的能力����。引入應(yīng)急響應(yīng)服務(wù)及時有效地處理重大失泄密事件具體包括:協(xié)助恢復(fù)系統(tǒng)到正常工作狀態(tài);協(xié)助檢查入侵來源��、時間���、方法等�;對網(wǎng)絡(luò)進行安全評估���,找出存在的安全隱患�;做出事件分析報告����;制定并貫徹實施安全改進計劃。采用安全通告服務(wù)來對竊密威脅提前預(yù)警具體包括對緊急事件的通告���,對安全漏洞和最新補丁的通告���,對最新防護技術(shù)及措施的通告,對國家�、軍隊的安全保密政策法規(guī)和安全標(biāo)準(zhǔn)的通告
8、等�����。四��、信息安全保密的標(biāo)準(zhǔn)規(guī)范體系信息安全保密的標(biāo)準(zhǔn)
